Zawartość związana z zabezpieczeniami w systemie watchOS 9.1
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 9.1.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 9.1
AppleMobileFileIntegrity
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten problem rozwiązano przez usunięcie dodatkowych uprawnień.
CVE-2022-42825: Mickey Jin (@patch1t)
Apple Neural Engine
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32932: Mohamed Ghannam (@_simo36)
Audio
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: analiza składni złośliwie spreparowanego pliku audio może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42798: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
AVEVideoEncoder
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2022-32940: ABC Research s.r.o.
CFNetwork
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu
Opis: w procedurach obsługi WKWebView występował błąd sprawdzania poprawności certyfikatów. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.
CVE-2022-42813: Jonathan Zhang z Open Computing Facility (ocf.berkeley.edu)
GPU Drivers
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub wykonać kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-46712: Tommy Muir (@Muirey03)
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32924: Ian Beer z Google Project Zero
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: zdalny użytkownik może być w stanie doprowadzić do wykonania kodu jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-42808: Zweig z Kunlun Lab
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-32944: Tim Michaud (@TimGMichaud) z Moveworks.ai
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2022-42803: Xinru Chi z Pangu Lab, John Aakerblom (@jaakerblom)
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2022-32926: Tim Michaud (@TimGMichaud) z Moveworks.ai
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2022-42801: Ian Beer z Google Project Zero
Safari
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-42817: Mir Masood Ali, doktorant, Uniwersytet Illinois w Chicago; Binoy Chitale, student studiów magisterskich, Stony Brook University; Mohammad Ghasemisharif, doktorant, Uniwersytet Illinois w Chicago; Chris Kanich, profesor nadzwyczajny, Uniwersytet Illinois w Chicago
Sandbox
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.
CVE-2022-42811: Justin Bui (@slyd0g) z Snowflake
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2022-42823: Dohyun Lee (@l33d0hyun) z SSD Labs
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić poufne informacje użytkownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-42824: Abdulrahman Alqabandi z Microsoft Browser Vulnerability Research, Ryan Shin z IAAI SecLab w Korea University, Dohyun Lee (@l33d0hyun) z DNSLab w Korea University
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić wewnętrzne stany aplikacji.
Opis: naprawiono błąd dotyczący poprawności w JIT przez poprawienie procedur sprawdzania.
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) z KAIST Hacking Lab
zlib
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
Dodatkowe podziękowania
iCloud
Dziękujemy za udzieloną pomoc: Tim Michaud (@TimGMichaud) z Moveworks.ai.
Kernel
Dziękujemy za udzieloną pomoc: Peter Nguyen ze STAR Labs, Tim Michaud (@TimGMichaud) z Moveworks.ai, Tommy Muir (@Muirey03).
WebKit
Dziękujemy za udzieloną pomoc: Maddie Stone z Google Project Zero, Narendra Bhati (@imnarendrabhati) z Suma Soft Pvt. Ltd., anonimowy badacz.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.